[관망경]클라우드 보안인증제(CSAP)

클라우드 보안인증제(CSAP)에 등급제 도입이 공식화되면서 국내 기업의 우려가 커지고 있다. 글로벌 기업이 민간 클라우드 시장을 잠식한 마당에 공공시장마저 내줄 것이란 불안감이 가장 크다. 그동안 진행된 과정은 우려를 더 키운다. 정부가 등급제를 도입하는 표면적 이유는 CSAP의 엄격한 기준과 오랜 인증 기간이다. 민간 클라우드의 공공 확산에 CSAP가 규제로 작용한다는 것이다.

[관망경]클라우드 보안인증제(CSAP)

그러나 6년 넘게 운영한 제도를 급작스럽게 개편하는 이유로는 설득력이 떨어진다. 'CSAP가 규제인지'에 대한 반론이 제기된다. 규제라면 기준은 완화하고 기간은 줄이면 된다. 산업계는 대대적 개편이라는 필요성에 의문을 표한다. 일각의 추측대로 통상 이슈 때문에 불가피한 상황이라면 업계와 소통하고 머리를 맞대는 게 맞다. 자국 산업을 보호하기 위한 정책은 어느 나라나 펼친다. 이 정도도 못할 이유는 없다.

정부는 제도 완화의 구체적 배경·방향성·목적을 설명하지 않고 불신을 키웠다. 등급제로 이익을 볼 수 있는 곳은 글로벌 기업밖에 없다. 우려가 커지지 않을 수 없었다. 지금부터가 중요하다. 정부는 9월까지 CSAP 완화를 위한 세부안을 마련하고 이를 뒷받침하기 위한 시행령이나 고시, 지침 등 필요한 제도 개정을 추진할 것으로 보인다. 제도 개정 기간을 고려하면 등급제 시행은 내년이 될 것으로 전망된다.

이제라도 민·관이 참여하는 협의체를 통해 논의해야 한다. 국내외 클라우드 서비스 제공사(CSP) 등 이해 당사자는 물론 민·관 전문가가 모두 참여해서 등급제 구성, 등급별 인증 항목과 수준, 논리적 분리 허용 등 민감한 이슈를 논의해야 한다. 개편되는 CSAP는 공공분야에 민간 클라우드를 확산하면서도 보안은 강화하는 제도로 발전해야 한다. 정부가 추진하는 공공 클라우드 전환에 기여하고 국가 데이터의 안전한 관리, 산업 발전을 아우를 수 있어야 한다. 모두를 만족시키는 정책은 세상에 없다. 충분한 논의가 오갈수록 정책 완성도가 높아짐을 명심해야 한다.

안호천기자 hcan@etnews.com